佐々木 脆弱性管理は、ITセキュリティの世界ではとても大事な要素だ。脆弱性があるものにはパッチを当て、脅威の入り口に蓋をしていく。
OTセキュリティに関しては、まず資産可視化に段階を付けた方がいい。最低限どこに何がつながっているかを把握することからスタートして、脆弱性管理はその後でいいのではないかと思う。
いきなり脆弱性管理や、PLC(Programmable Logic Controller)/DCSまで資産の可視化をしなくても、どちらにせよ脅威の入口のほとんどがUSBかネットワークであり、攻撃を最初に受け止めるのは大概何らかのPCだ。資産管理も、まずはそういったWindows端末などから始めたらいいのではないか。
個人的には、PLCの資産管理はセキュリティ上、ほとんど意味はないと思っている。なぜかというと、PLCの脆弱性を突いて攻撃するより、PCを乗っ取って正規のコマンドで攻撃した方がはるかに効率的だからだ。PCを乗っ取ることができれば、正規のコマンドで簡単にPLCを止めたり、数値を書き換えたりできる。そこを勘違いしている人が多い。
未知の脅威への対策というのも、そういったものにPCを乗っ取られてしまうと、PCから出されるコマンドに関しては正規のコマンドになってしまうので、ブロックするのは難しい。制御機器の1つ上のレイヤーの端末を乗っ取られる前に勝負を付けなければならない。そういった意味では、サーバレイヤーのラテラルムーブメント(攻撃者がネットワーク侵入後に、ネットワーク内を横方向に移動しながら侵害範囲を広げていく攻撃手法)の監視などは効果がある。
PLCやDCSにアンチウイルスソフトを入れなくてはいけない、と思っている人もいるが、それは対応の自動化以降でもいい。
佐々木 日本人はガイドラインなどを順守するのに長けているが、ガイドラインには何をどこまでやればいいのか、というのは書かれていない。経済産業省のガイドラインは事業規模やリスクに応じて選択できるようにはなっているが、多くのガイドラインは、どこにどうやって、どれくらいのコストをかければいいのかという点は書かれていない。やらなくていいものもあるはずなのに、ルールで決められているからと無理やり進めてしまう。
現場の端末に定義ファイルが更新されていないアンチウイルスソフトが入れてあって、もう意味がないのに“ルールだから入れています”というケースがある。ISMS(情報セキュリティマネジメントシステム)認証にしても、あくまでリスク低減の取り組みなので、しっかりとリスクが減っていることを皆が自分事として把握しなくてはいけないのに、それが知らない間にガイドラインの〇付け作業に変わってしまっているケースが見られる。
藤原 監査で〇や×を付けることが目的になって、ガイドラインが守られない時に何が起こるのか、という訴求まで至っていない。ガバナンスを効かせることに懸命になって、効かされる側、つまり現場でガイドラインを守る側のことがなおざりになってしまっているケースがある。
実際に守る側のためにも、しっかり守らないと何が起きるのかを認識していた方がいい。そうしないと、“何のためのガイドラインか”という話になってしまう。
どのガイドラインを参照しても構わない。結局、重要なのは組織、運用、技術、工場サプライチェーンに軸足を置いて、ビジネスリスクの低減を行っていくことだ。
佐々木 弘志(ささき ひろし)
フォーティネットジャパン合同会社 OTビジネス開発部 部長
2021年8月より現職。国内製造企業の制御システム機器の開発者として14年間従事した経験を持つ。セキュリティ専門家として、産業サイバーセキュリティの文化醸成(ビジネス化)を目指し、国内外の講演、執筆などの啓発やソリューション提案などのビジネス活動を行っている。CISSP認定保持者。
2022年5月〜現在:名古屋工業大学 産学官金連携機構 ものづくりDX研究所 客員准教授(非常勤)
2017年7月〜現在:独立行政法人 情報処理推進機構(IPA)産業サイバーセキュリティセンター(ICSCoE)専門委員(非常勤)
2016年5月〜2020年12月、2021年7月〜現在:経済産業省 商務情報政策局 情報セキュリティ対策専門官(非常勤)
藤原 健太(ふじはら けんた)
フォーティネットジャパン合同会社 OTビジネス開発部 担当部長
現場機器から制御システム、OT領域のデジタル化支援まで幅広く従事し、これまでに訪問したプラント・工場は80拠点を超える。システムエンジニア、営業技術、ビジネス開発、プロジェクトエグゼキューション、アフターセールスなどを経験し、これらの幅広いスキルを生かし、OTセキュリティに関する執筆やメディア出演、イベント講演、社外関連団体での活動など精力的に取り組み業界をリードしている。
2022年9月〜現在:GUTP+Edgecross合同 工場セキュリティWGメンバー
2024年8月〜現在:JNSA 調査研究部会 OTセキュリティWGメンバー
FS Engineer(TUV Rheinland, #18131/19, Safety Instrumented System)
Copyright © ITmedia, Inc. All Rights Reserved.